Demonstrationer af regler for reduktion af angrebsoverfladen
Gælder for:
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender for Business
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender Antivirus
Regler for reduktion af angrebsoverfladen er målrettet bestemte funktionsmåder, der typisk bruges af malware og skadelige apps til at inficere maskiner, f.eks.:
- Eksekverbare filer og scripts, der bruges i Office-apps eller webmails, som forsøger at downloade eller køre filer
- Scripts, der er sløret eller på anden måde mistænkelige
- Funktionsmåder, som apps foretager, som ikke initieres under normalt dag-til-dag-arbejde
Scenariekrav og konfiguration
- Windows 11, Windows 10 1709 build 16273 eller nyere
- Windows Server 2022, Windows Server 2019, Windows Server 2016 eller Windows Server 2012 R2 med den samlede MDE klient.
- Microsoft Defender Antivirus
- Microsoft 365 Apps (Office; kræves til Office-regler og -eksempel)
- Download PowerShell-scripts til reduktion af angrebsoverflade
PowerShell-kommandoer
Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536-B80A7769E899 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A917-57927947596D -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA-993A6D77406C -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3F-A12568109D35 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E-2ECDC07BFC25 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9-9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49E8-8B27-EB1D0A1CE869 -AttackSurfaceReductionRules_Actions AuditMode
Add-MpPreference -AttackSurfaceReductionRules_Ids 7674BA52-37EB-4A4F-A9A1-F0F9A1619A2C -AttackSurfaceReductionRules_Actions AuditMode
Regeltilstande
| Staten | Tilstand | Numerisk værdi |
|---|---|---|
| Deaktiveret | = Fra | 0 |
| Aktiveret | = Bloktilstand | 1 |
| Revision | = Overvågningstilstand | 2 |
Kontrollér konfiguration
Get-MpPreference
Test filer
Bemærk! Nogle testfiler har flere udnyttelser integreret og udløser flere regler
| Regelnavn | Regel-GUID |
|---|---|
| Bloker eksekverbart indhold fra mailklient og webmail | BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 |
| Bloker Office-programmer fra at oprette underordnede processer | D4F940AB-401B-4EFC-AADC-AD5F3C50688A |
| Bloker Office-programmer fra at oprette eksekverbart indhold | 3B576869-A4EC-4529-8536-B80A7769E899 |
| Bloker Office-programmer fra at indsætte i andre processer | 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 |
| Gør det ikke muligt for JavaScript og VBScript at starte eksekverbare filer | D3E037E1-3EB8-44C8-A917-57927947596D |
| Bloker udførelse af potentielt slørede scripts | 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC |
| Bloker Win32-import fra makrokode i Office | 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B |
| {Bloker procesoprettelser, der stammer fra PSExec & WMI-kommandoer | D1E49AAC-8F56-4280-B9BA-993A6D77406C |
| Bloker udførelse af ikke-betroede eller usignerede eksekverbare filer i flytbare USB-medier | B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 |
| Aggressiv ransomware-forebyggelse | C1DB55AB-C21A-4637-BB3F-A12568109D35 |
| Bloker eksekverbare filer, så de ikke kører, medmindre de opfylder et prævalens-, alders- eller listekriterium, der er tillid til | 01443614-CD74-433A-B99E-2ECDC07BFC25 |
| Bloker Adobe Reader fra at oprette underordnede processer | 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c |
| Bloker misbrug af udnyttede sårbare bilister | 56a863a9-875e-4185-98a7-b882c64b5ce5 |
| Bloker tyveri af legitimationsoplysninger fra det lokale windows-undersystem (lsass.exe) | 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 |
| Bloker vedholdenhed via WMI-hændelsesabonnement | e6db77e5-3df2-4cf1-b95a-636979351e5b |
| Bloker oprettelse af Webshell for servere | a8f5898e-1dc8-49a9-9878-85004b8a61e6 |
Scenarier
Konfiguration
Download og kør dette installationsscript. Før du kører kørselspolitikken for scriptsæt til Ubegrænset ved hjælp af denne PowerShell-kommando:
Set-ExecutionPolicy Unrestricted
Du kan i stedet udføre disse manuelle trin:
- Create en mappe under c: navngivet demo, "c:\demo"
- Gem denne rene fil i c:\demo.
- Aktivér alle regler ved hjælp af PowerShell-kommandoen.
Scenarie 1: Reduktion af angrebsoverfladen blokerer en testfil med flere sikkerhedsrisici
- Aktivér alle regler i bloktilstand ved hjælp af PowerShell-kommandoerne (du kan kopiere indsæt alle)
- Download og åbn en af testfilen/dokumenterne, og aktivér redigering og indhold, hvis du bliver bedt om det.
Scenarie 1 forventede resultater
Du får straks vist meddelelsen "Handling blokeret".
Scenarie 2: ASR-reglen blokerer testfilen med den tilsvarende sikkerhedsrisiko
Konfigurer den regel, du vil teste, ved hjælp af PowerShell-kommandoen fra det forrige trin.
Eksempel:
Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions EnabledDownload og åbn testfilen/dokumentet for den regel, du vil teste, og aktivér redigering og indhold, hvis du bliver bedt om det.
Eksempel: Bloker Office-programmer fra at oprette underordnede processer D4F940AB-401B-4EFC-AADC-AD5F3C50688A
Forventede resultater i scenarie 2
Du får straks vist meddelelsen "Handling blokeret".
Scenarie 3 (Windows 10 eller nyere): ASR-regel blokerer usigneret USB-indhold fra udførelse
- Konfigurer reglen for USB-beskyttelse (
B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4).
Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Enabled
- Download filen, og sæt den på en USB-pind og udfør den Bloker Udførelse af upålidelige eller usignerede eksekverbare filer i flytbare USB-medier
Forventede resultater i scenarie 3
Du får straks vist meddelelsen "Handling blokeret".
Scenarie 4: Hvad ville der ske uden reduktion af angrebsoverfladen
Deaktiver alle regler for reduktion af angrebsoverfladen ved hjælp af PowerShell-kommandoer i afsnittet oprydning.
Download en hvilken som helst testfil/dokument, og aktivér redigering og indhold, hvis du bliver bedt om det.
Forventede resultater i scenarie 4
- Filerne i c:\demo er krypteret, og du bør få vist en advarselsmeddelelse
- Udfør testfilen igen for at dekryptere filerne
Oprydning
Download og kør dette oprydningsscript
Du kan også udføre disse manuelle trin:
Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536-B80A7769E899 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A917-57927947596D -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA-993A6D77406C -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3F-A12568109D35 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E-2ECDC07BFC25 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9-9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49E8-8B27-EB1D0A1CE869 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 7674BA52-37EB-4A4F-A9A1-F0F9A1619A2C -AttackSurfaceReductionRules_Actions Disabled
Ryd op i c:\demo-kryptering ved at køre krypterings-/dekrypteringsfilen
Se også
Installationsvejledning til regler for reduktion af angrebsoverflade
Reference til regler for reduktion af angrebsoverflade
Microsoft Defender for Endpoint – demonstrationsscenarier
Tip
Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.